互联网网站安全防护解决方案

一、背景需求

党政机关、事业单位互联网网站是各级政府及所属单位履行职能、面向社会提供服务的重要手段和渠道，在提高行政效能、提升公信力方面发挥着重要作用，但脆弱的Web安全防护能力却与之形成极大的反差，自2013年到2015年，公安部、网信办先后对全国政府网站(gov.cn域名)以及大量央企、省级门户网站、高校网站进行监测排查，55%左右政府网站存在安全隐患,过半网站存在安全漏洞。

为了提高党政机关、事业单位和国有企业互联网网站安全防护水平，防范和打击境内外不法分子攻击篡改、破坏网站安全的违法犯罪活动，维护党政机关、事业单位和国有企业互联网网站安全稳定运行，保障网络安全和国家安全，公安部、中央网信办、中编办、工信部四部委联合发布《互联网网站安全专项整治行动方案》在全国范围内开展党政机关、事业单位和国有企业互联网网站的专项整治活动，从统一管理、统一监测、统一防护的角度指导和督促各个单位提升互联网网站安全管理和防护水平。

需求

根据党政机关、事业单位和国有企业互联网网站面临的安全威胁现状、网站应用现状、安全防护现状以及风险分析和实际发生的网站安全事件案例，传统的网站安全防护模式和手段已无法应对新时期互联网网站所面临的安全威胁，需要从以下五个方面提出安全防护需求。

1.   动态防御安全架构亟待引入

2.   网络边界防护手段有待增强

3.   网站安全服务能力有待提高

4.   网站基础防护措施亟需完善

5.   安全管理保障措施有待健全

二、解决方案

本方案参考国家等级保护相关政策规范和技术标准要求，结合当前网站应用和防护现状，设计互联网网站安全防护体系。以“防”、“监”、“固”、“评”为核心安全理念，从常态、实时、及时、定时防护维度建设互联网网站自适应安全防护体系架构。

网站安全防护体系

常态“防”护：增强和优化现有网站应用基础设施、边界安全防护水平、通过WEB应用数据引流技术引入云防御平台形成具备三层纵深的防护体系；

实时“监”测：通过面向网站的在线安全监测服务，协助用户实时有效地了解网站是否安全可靠，发现问题及时预警、告警和处置；

及时“固”本：依托后台安全专家团队线下服务及时提供安全事件的安全分析、策略加固、应急响应和救援，从整体上完善了各网站的安全防护能力、自我发现能力和应急响应能力；

定时“评”估：定期利用渗透测试等风险评估手段对网站所存在的安全风险进行监测和评估，进一步改进各种防护阻止策略和手段的完备性。

三、效能体现

立足党政机关、事业单位和国有企业网站安全防护需求，以云防御、在线监测、线下专家、渗透评估为手段，结合基础应用、网络边界防护措施的优化和加固，进行网站安全防护体系的建设，形成有纵深、策略统一的自适应网站安全防护架构。具备常态安全防护、实时在线监测、及时响应处置、定时渗透评估，提升党政机关、事业单位和国有企业互联网网站安全技术防范能力，提高网站安全管理水平、加强网络安全监测和应急处置能力、增强抵御攻击、篡改、破坏的能力。